建置條件式存取原則
如 什麼是條件式存取一文所述,條件式存取原則是一個由 指派 和 存取控制組成的 if-then 語句。 條件式存取原則會將訊號結合在一起,以做出決策並強制執行組織原則。
組織如何建立這些原則? 需要什麼? 這些套用方式為何?
多個條件式存取原則可以隨時套用至個別使用者。 在此情況下,必須滿足所有套用的原則。 例如,如果一個原則需要多重要素驗證,而另一個原則需要相容的裝置,您必須完成 MFA,並使用相容的裝置。 所有指定都會以邏輯方式 ANDed。 如果您設定了多個指派,則必須滿足所有指派條件才能觸發政策。
如果選取 [需要其中一個選取控件] 的原則,我們會在定義的順序中提示,只要滿足原則需求,就會授與存取權。
所有原則都會在兩個階段中強制執行:
- 階段 1:收集會話詳細數據
-
階段 2: 強制
- 使用階段 1 中收集的會話詳細數據來識別不符合的任何需求。
- 如果有已設定 區塊 授與控制的政策,執行在此停止,並封鎖使用者。
- 系統會提示使用者依下列順序完成階段 1 期間未滿足的更多授權控制要求,直到滿足政策為止:
- 一旦滿足所有授權控管,請套用會話控制(應用程式強制執行、Microsoft Defender for Cloud Apps,以及令牌存留時間)
- 所有啟用的原則都會進行原則評估階段 2。
作業
指派部分會控制條件式存取原則的人員、內容和位置。
使用者和群組
套用原則時, 指派原則包含或排除的使用者和群組。 此指派可以包含所有使用者、特定使用者群組、目錄角色或外部來賓使用者。
目標資源
目標資源 可以包含或排除受原則約束的雲端應用程式、使用者動作或驗證內容。
網路
網路 包含條件式存取原則決策的IP位址、地理位置和 全域安全存取相容網路。 系統管理員可以選擇定義位置,並將某些位置標示為信任的位置,例如組織的主要網路位置。
條件
原則可以包含多個 條件,。
登入風險
對於具有 Microsoft Entra ID Protection的組織,所產生的風險偵測可能會影響條件式存取原則。
裝置平臺
具有多個裝置作系統平台的組織可能會在不同的平台上強制執行特定原則。
用來計算裝置平台的信息來自未經驗證的來源,例如可以變更的使用者代理程式字串。
用戶端應用程式
用戶用來存取雲端應用程式的軟體。 例如,「瀏覽器」和「行動應用程式和桌面用戶端」。 根據預設,所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型,即使未設定用戶端應用程式條件也一樣。
設備篩選器
此控制項允許根據原則中的屬性,以特定裝置為目標。
訪問控制
條件式存取原則的訪問控制部分會控制原則的強制執行方式。
授予
授權 為系統管理員提供強制執行政策的工具,讓他們可以封鎖或授權存取。
封鎖存取
封鎖存取只會封鎖指定指派下的存取。 區塊控件功能強大,應該在具備適當知識的情況下使用。
授與存取權
授與控件可以觸發一或多個控件的強制執行。
- 需要多重驗證
- 要求裝置標示為符合規範 (Intune)
- 必須具備 Microsoft Entra 混合式加入的裝置
- 需要核准的用戶端應用程式
- 需要應用程式保護原則
- 需要變更密碼
- 要求使用條款
系統管理員可以選擇使用下列選項,要求上述其中一個控件或所有選取的控件。 多個控制件的預設值是需要全部。
- 需要所有選取的控制項(控制項與控制器)
- 需要其中一個選取的控制項(控制項或控制件)
會期
工作階段控制件 可以限制用戶的體驗。
- 使用應用程式強制執行的限制:
- 目前僅適用於 Exchange Online 和 SharePoint Online。
- 傳遞裝置資訊,以控制授與完整或有限存取權的體驗。
- 使用條件式存取應用程式程式控制:
- 使用 Microsoft Defender for Cloud Apps 的訊號來執行以下動作:
- 封鎖機密檔的下載、剪下、複製和列印。
- 監控具風險的會話行為。
- 需要標記敏感性檔案。
- 使用 Microsoft Defender for Cloud Apps 的訊號來執行以下動作:
- 登入頻率:
- 能夠變更現代驗證的預設登入頻率。
- 持續性瀏覽器會話:
- 允許使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
- 客製化連續存取評估
- 停用韌性預設值
簡單原則
條件式存取原則至少必須包含下列條件,才能強制執行:
- 政策的名稱。
-
工作分派
- 要套用原則的使用者和/或群組。
- 雲端應用程式或動作 進行政策套用。
-
存取控制
- 授與 或 封鎖 控件
本文 一般條件式存取原則 包含一些我們認為對大多數組織有用的原則。
相關內容
適用於雲端應用程式和條件式存取的Defender Microsoft